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@ Autorisierungsverfahren mit Zertifikat 

© Die Erfindung betrifft ein Verfahren zur Sicherstellung 
der Datenintegritat einer Software f u r ein Steuergerat ei- 
nes Kraftfahrzeugs, in dem in einem Speicher eine das 
Steuergerat in seiner Wirkungsweise beeinflussende 
Software speicherbar ist. 

Sie ist gekennzeichnet durch die Schritte: Bereitstellen ei- 
nes Steuergerate-Schlusselpaares mit einem ersten und 
einem zweiten Schliissel, Bereitstellen einer bestimmten 
Anzahl n von Zertifikats-Schlusselpaaren mit jeweils ei- 
nem ersten und einem zweiten Schliissel, Hinterlegen des 
ersten Schlussels des Steuergerate-Schlusselpaares im 
oder fur das Steuergerat in dem Kraftfahrzeug, Erstellen 
von der bestimmten Anzahl n entsprechenden Zertifika- 
ten, wobei jedes Zertifikat eine Zertifikatsinformation urn- 
fafSt, in der Zertifikatsinformation des letzten Zertifikates 
zumindest ein Schliissel zur Uberprtifung der Software 
und - falls mehrere Zertifikate verwendet werden - in den 
anderen Zertifikatsinformationen zumindest ein Schliis- 
sel zur Oberpriifung des nachfolgenden Zertifikates abge- 
legt sind, Signieren der Zertifikatsinformation des ersten 
Zertifikates mit dem zweiten Schliissel des Steuergerate- 
Schlusselpaares und - falls mehr als 1 Zertifikat vorhan- 
den sind - Signieren der ubrigen Zertifikate mit dem je- 
weils zweiten Schliissel eines Zertifikat-Schlusselpaares, 
von dem der jeweils erste Schliissel in der Zertifikatsinfor- 
mation des vorhergehenden Zertifikates abgelegt ist, Si- 
gnieren einer neu einzuspielenden Software mit dem 
zweiten Schliissel ... 
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Beschreibung 



Die Erfindung betrifll cin Verfahren zur Sichcrstellung 
der Datcnintegritat einer Software fur ein Steuergerat eines 
Kraftfahrzeugs. 5 

Mit dem zunehnienden Anteil der Elektronik und der 
Kommunikationsmogiichkeiten ini und mit einem Fahrzeug 
wachsen auch die Anforderungen, welche an die Sicherheit 
gestellt werden miissen. 

In den verschiedensten Bereichen des Fahrzeug s werden 10 
Mi krocon trailer zur Steuerung eingesetzt. Diese Steuerge- 
rate sind heutzutage oft liber ein oder mehrere Bussysteme 
miteinander verbunden, und es gibt meist Moglichkeiten 
(z. B. Diagnose vcrbindung), von auBcn auf dicsen Bus zu- 
zugreifen und mit den einzelnen Steuergeraten zu kommuni- 15 
zieren. 

Die Funktionsweise der Steuergerate wird durch Softwa- 
reprogramme bestimmt. Bisher ist die Software, die in ei- 
nem Steuergerat (auch: Controller) eingesetzt wird, meist in 
einem nicht programmierbaren Speicher abgelegt (z. B. bei 20 
maskenprogrammierten Mikrocontrollem). Dadurch isteine 
Manipulation der Software nicht ohne weiteres zu realisie- 
ren. Beispielsweise kann der komplette Austausch eines 
Speicherbausteins gegen einen anderen Speicherbau stein er- 
kannt und entsprechend darauf reagiert. werden. 25 

Durch den zukunftigen Einsatz von programmierbaren, 
insbesondere sogenannten flashprogrammierbaren Steuer- 
geraten im Fahrzeug wird die Gcfahr jedoch groBcr, daB un- 
befugte Manipulationen an der Software und somit an der 
ArbeiLsweise der Steuergerate durchgefuhrt werden. So 30 
konntc der Austausch von Software scitens nicht autorisier- 
ter Personen einfach durch Neuprogrammierung mit gerin- 
gem Aufwand vollzogen werden. 

Aus Sicherheitsgriinden und zur Erfullung von gesetzli- 
chen Anforderungen miissen jedoch MaBnahmen ergriffen 35 
werden, die entwedcr cine Veranderung von Originalsoft- 
ware verhindem oder eine solche Anderung nur autorisier- 
ten Personen zugestehen. 

Im ubrigen konntc es sich zukunftig als vorteilhaft erwei- 
sen, ein Gleichteile-Konzept zu Verfolgen, wobei bei unter- 40 
schiedlichen Modellen gleiche Hardware verwendet wird. 
Der Unterschied in der Funktionsweise liegt dann nur noch 
in einer unterschiedlichen Software. Bei diesem Konzept 
besteht freilich die Notwendigkeil, daB eine bestimmte Soft- 
ware nur auf einem individuellen Fahrzeug laufFahig ist und 45 
nicht einfach kopierbar sein darf. 

Aus dem Stand der Technik sind eine Vielzahl von Au- 
thentifizierungsverfahren und -vorrichtungen bekannt. 

So ist in der US 5,844,986 ein Verfahren beschrieben, 
welches zur Vcrmcidung eines nicht erlaubtcn EingrifTs in 50 
ein BIOS -Systems eines PC verwendet wird. Ein kryptogra- 
phischer Coprozessor, der einen BIOS -Speicher enthalt, 
fiihrt basicrend auf einem sogenanten Public-Key- Verfahren 
mit einem offentlichen und einem geheimen Schliissel eine 
Aulhcnlifizicrung und Uberpriifung einer BIOS- Anderung 55 
durch. Dabei erfolgt die Uberpriifung durch eine Priifung ei- 
ner in der einzuspielenden Software eingebetteten digitalen 
Signatur. 

Aus der EP 0 816 970 ist eine Vorrichtung zur Uberprii- 
fung einer Firm ensoft ware bekannt. Diese Vorrichtung zur 60 
Authentifizierung eines Boot-PROM-Speichers umfaBt ei- 
nen Speicherteil mit einem Mikro-Code. Ein Authentifizie- 
rungs-Sektor umfaBt einen Hash-Generator, der Hash-Daten 
in Antwort auf die Ausfiihrung des Mikro-Codes erzeugt. 

Mit den obigen Verfahren oder Vorrichtungen ist jedoch 65 
nicht unmittelbar die Uberpriifung einer in ein Steuergerat 
eines Kraftfahrzeuges einzuspielenden Software moglich. 

In der EP0 813 132 ist ein Authentifizierungs verfahren 



beschrieben, bei dem ein Programm mit einem Zertifikat 
und einer Zugangsliste gekoppelt ist. GemaB einer bevor- 
zugtcn Ausfuhrungsfomi erstclll eine Zertifikat-Agentur cin 
Zertifikat fiir einen Code und ein Zertifikat fur die Zugangs- 
liste. Ist das Zertifikat einmal vergeben, ist es nicht mehr 
moglich, den Code oder die Zugangsliste zu verandern, 
ohne das Zertifikat zu verletzen. Der Code und die Zugangs- 
liste werden zusammen mit ihren Zertifikaten in einem Ser- 
ver gespeichert. Mit diesem Verfahren kann ein Kunde, der 
den Code oder die Zugangsliste anfordert, deren Authentitat 
feststellen. Eine Anwendung dieses Verfahrens im Kraft- 
fahrzeugbereich ist jedoch nicht ohne weiteres moglich. 

Allgemein ware es von Vorteil, auf mehrere Berechtigte 
zur Erstcllung und authentischen Kennzeichnung von angc- 
forderter Software zuriickgreifen zu konnen. Damit miiBte 
die Kennzeichnung nicht von einer zentralen Stelle alleine 
vorgenommen werden. Allcrdings sollte weitcr eine zentralc 
Uberwachungsstelle zur Berechtigungsvergabe fur ausge- 
wahlte Berechtigte eingerichtet sein. 

Aufgabe der vorliegenden Erfindung ist es, ein Verfahren 
zur Sicherstellung der Datenintegritat einer Software fur ein 
Steuergerat eines Kraftfahrzeugs zur Verfugung zu stellen, 
wobei mehrere Berechtigte, die von einer zentralen Einrich- 
tung kontrollierbar sind, eine authentische Software erstel- 
len und entsprechend kennzeichnen konnen. 

Die Aufgabe wird durch die Merkmale im Anspruch 1 ge- 
lost. 

DcmgcmaB kann cine zentralc Einrichtung, nachfolgcnd 
als Trust-Center bezeichnet, an Berechtigte ein oder meh- 
rere Zertifikate vergeben, mit dem der oder die damit Ausge- 
stattctcn Software fiir cin Steuergerat sclbst ordnungsgcmaB 
signieren und lauffahig in ein Fahrzeug einspielen konnen. 

Zu diesem Zweck stellt beispielsweise das Trust-Center 
(in einer alternativen Ausfuhrungsform das Fahrzeug selbst) 
ein Steuergerate-Schliisselpaar mit einem ersten und einem 
zweiten Schliissel bereit. Der erste Schliissel wird bei der 
Produktion eines Fahrzeugs in dem Steuergerat selbst abge- 
legt oder fur das Steuergerat hinterlegt. Aus diesem Grunde 
wird dieses Schlusselpaar als Steucrgcrate-Schlussclpaar 
bezeichnet. Mit dem zweiten Schliissel des Trust-Centers 
wird ein erstes Zertifikat fur einen Berechtigten, nachfol- 
gend Zertifikatsinhaber, signiert. 

Zur besseren Klarheit wird zunachst angenommen, daB 
nur ein Zertifikat zum lauffahigen Einiesen einer neuen 
Software in ein Steuergerat benotigt wird. Dieses eine Zerti- 
fikat enthalt in einem Zertifikationsinformationsteil neben 
bestimmten Zertifikatsinfonnationen zurnindest einen ersten 
Schliissel des Zertifikatsinhabers, der sich selbst ein Zertifi- 
kats-Schlusselpaar mit einem ersten und einem zweiten 
Schliissel genericrt hat. Als weiterc Zertifikationsinforma- 
tionen konnen beispielsweise der Zertifikatsaussteller, eine 
Seriennummer, der Zertifikatsinhaber, bestimmte Zugriffs- 
rcchte oder ein Giiltigkeitszcitraum festgclegt sein. 

Der Berechtigte oder Zertifikatsinhaber signiert dann mit 
scinern zweiten Schliissel des Zcrtifikats-Schliisselpaares 
die in das Steuergerat einzuspielende Software. Sowohl das 
Zertifikat wie auch die von dem Zertifikatsinhaber signierte 
Software werden dann in das Steuergerat eines Fahrzcugs 
eingespielt. Das Steuergerat erkennt mittels seines eigenen 
ersten Schlussels des Steuergerate- Schliisselpaares die 
RechtmaBigkeit des Zertifikates und akzeptiert die Zertifi- 
katsinfonnationen, darunter den darin enthaltenen Schlus- 
sel. Mit diesem Schliissel, also dem ersten Schliissel des 
Zertifikats-Schlusselpaares, wird wiederum die tjberprii- 
fung der Signatur der eingespielten Software vorgenommen. 
ist auch diese Signatur als einwandfrei erkannt, so wird sie 
vom Steuergerat akzeptiert. 

Mit dieser Vorgehensweise kann man Anderungs- und Si- 
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gnierrechte allgemein vergeben. Es muB nicht jede Software 
von dem Inhaber des Steuergerate-Schliisselpaares, bei- 
spielsweise dcin Trust-Center, selbst signiert wcrden. Mit 
den Zusatzinformationen ira Zertifikat ist es dariiber hinaus 
mbglich, dem Zeniflkatsinhaber eine Fiille von Zugestand- 5 
nissen oder Beschrankungen zuzuweisen. Beispielsweise 
kann ein Zeitraum zugestanden werden, uber den hinweg 
der Zenifikatsinhaber Software erstellen und einspielen 
kann. Es konnen verschiedene Berechtigungslevel fur die 
Generierung von Software und die Art der Software verge- 10 
ben werden. Die Signierung der Software selbst findet je- 
doch immer durch den Zenifikatsinhaber selbst statt. 

Unter Schliissel versteht man allgemein Codier- und/oder 
Dccodicrparamcter, die bei an sich bckannten kryptographi- 
schen Algorithmen verwendet werden. Dabei ist die Ver- 15 
wendung von symmetrischen und asymmetrischen Verfah- 
ren mbglich. Bei symmelrischen Verfahrcn sind beide 
Schliissel identisch, so daB eigentlich nur ein Schliissel an 
verschiedenen Orten vorhanden ist. Bei asymmetrischen 
Verfahren werden verschiedene Schliissel verwendet. Allge- 20 
mein bekannt als asymmetrische Verfahren ist das Public- 
Key- Verfahren, bei dem ein offentlicher und ein geheimer 
(privater) Schliissel erzeugt werden. Der offentlichen 
Schliissel darf jedermann bekannt sein. Solche kryptogra- 
phischen Algorithmen sind beispielsweise Rivest, Shamir 25 
und Adleman (RSA-Algorithmus), Data Encryption Algo- 
rithmus (DEA-Algorithmus) und dergleichen Algorithmen, 
bei denen es sich um asymmetrische Verfahrcn handclt. 
Diese Algorithmen konnen sowohl fur das erste als auch fiir 
das zweite Schliisselpaar verwendet werden. 30 

In cincr komplcxercn Ausgestaltung des vorliegendcn er- 
findungsgemaBen Verfahren werden zur Uberpriifung einer 
in ein Steuergerat eingespielten Software nicht nur ein einzi- 
ges sondern mehrere Zertifikate n vergeben. Damit bestehen 
noch weitere Gestaltungsmbglichkeiten. Zum einen ist es 35 
mbglich, verschiedene Zertifikate auf verschiedene Pcrso- 
nen zu verteilen, so daB nur in Gemeinschaft ein lauffahiges 
Einspielen von neuer Software in ein Steuergerat mbglich 
ist. Zudem ist es mbglich, verschiedene ZugrilTsrcchte iibcr 
die verschiedene Anzahl von Zertifikaten zu vergeben. 40 

Bei der Verwendung von mehreren Zertifikaten, kann die 
Signatur des ersten Zertifikates mit dem im Steuergerat hin- 
terlegten Schliissel gepriift werden. Die Signatur eines jeden 
weiteren Zertifikates kann wiederum von dem in einem vor- 
herigen akzeptierten Zertifikat enthaltenen Schliissel uber- 45 
priift werden. Mit dem Schliissel im letzten Zertifikat wie- 
derum wird schlieBlich die Signatur der Software selbst 
iiberpriift. Nur wenn alle "Oberpriifungen erfolgreich verlau- 
fen sind, wird die Software vom Steuergerat akzeptiert. Da- 
mit die Signatur eines Zertifikates mit dem in einem vorhc- 50 
rigen Zertifikat enthaltenen Schliissel iiberpriift werden 
kann, muB es mit dem zweiten dazugehbrigen Schliissel si- 
gniert worden sein. 

Bei der Wahl, wo die geheimen und die offentlichen 
Schliissel jeweils abgelcgt werden sollen, besteht cine groBc 55 
Variationsmbglichkeit. Beispielsweise sind in den Zertifi- 
katsinforrnationen eines Zertifikates jeweils die offentlichen 
Schliissel abgelegt. Auch im Steuergerat selbst kann der bf- 
fentliche Schliissel des Steuergerate-Schliisselpaares abge- 
legt sein. Entsprechend muB dann die zu iiberprufende Si- 60 
gnatur mit dem dazugehbrigen geheimen Schliissel gebildet 
worden sein. 

Naturlich sind auch andere Ausfuhrungsformen denkbar, 
bei denen in der Zertifikatsinformation und/oder im Steuer- 
gerat selbst der geheime Schliissel hinterlegt sind. Auch 65 
Kombinationen mit symmetrischen Schlusseln sind durch- 
aus denkbar. 

Vorzugsweise ist der im Steuergerat hinterlegte Schliissel 
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im Boot-Sektor abgelegt. Dieser ist normalerweise in beson- 
derer Weise geschiitzt. Zur Erhohung der Sicherheit, kann 
der Boot-Sektor auch so ausgebildel sein, daB cr nach dem 
Beschreiben und dem Ablegen des darin enthaltenen 
Schliissels "abgesperrt" wird, d. h. fiir zukunftige Zugriffe, 
insbesondere Schreibzugriffe gespern wird, 

Verlaufen alle Priifungen positiv (Zertifikatspriifung und 
Softwarepriifung), so wird die Software vom Steuergerat 
oder einer eigens dafur vorgesehenen Einrichtung akzeptiert 
und kann zur Steuerung des Steuergerates herangezogen 
werden. 

Wie bereits oben beschrieben darf der bffentliche Schliis- 
sel bei den sogenannten Public-Key- Verfahren bffentlich 
bekannt sein, wogegen der geheime Schliissel nur cincr au- 
torisierten Stelle bekannt ist. 

GemaB einer besonderen Ausfiihrungsform ist der ge- 
heime Schliissel des Steuergerate-Schliisselpaares nur dem 
Trust-Center und der geheime Schliissel eines Zertifikats- 
Schlusselpaares nur dem Zenifikatsinhaber bekannt. Mit je- 
dem geheimen Schliissel laBt sich - analog zur handschrift- 
lichen Unterschrift - eine digitale Signatur zu einem elek- 
tronischen Dokument (Zertifikat, Software) erzeugen. Nur 
der Besitzer des geheimen Schliissels kann eine jeweils giil- 
tige Signatur erstellen. Die Echtheit des Dokuments (Zertifi- 
kat, Software) kann uber die Verification der Unterschrift 
mittels des offentlichen Schliissels iiberpriift werden. Ein 
nicht autorisiener Dritter, der den geheimen Schliissel nicht 
kennt, ist nicht in der Lagc, eine giiltigc Signatur zu erstel- 
len. Wird ein manipuliertes, abgelaufenes oder nicht berech- 
tigendes Zertifikat in ein Steuergerat. geladen oder eine ma- 
nipulicrtc und nicht richtig unterzcichnctc Software in das 
Steuergerat geladen, so wird dies mit dem jeweils dazugehb- 
rigen Schliissel erkannt und das Steuergerat wird in einen 
nichtlauffahigen Zustand versetzt. 

Bei der Verwendung eines symmetrischen Verfahren kann 
zur Erhohung der Sicherheitsstufe ein zusatzlicher Auslbse- 
schutz in Form einer speziellen Hardware herangezogen 
werden. 

Um die Anforderungcn eines ausschlicBlich fahrzeugin- 
dividuellen Einsatzes einer Software zu ermbglichen, ent- 
halt die fiir ein Steuergerat eines bestimmten Fahrzeugs vor- 
gesehene Software fahrzeugindividualisierende Inforrnatio- 
nen, beispielsweise die Fahrgestellnummer oder andere 
fahrzeugindividuelle Daten. Diese Infonnationen sind der 
Software zugeordnet oder in diese integriert. Erst nach der 
Zuordnung oder Integration dieser Daten zur bzw. in die 
Software wird diese dann mit dem zweiten Schliissel des 
Zertifikatsinhabers des letzten Zertifikates signiert. Ein 
Steuergerat akzeptiert - wie oben beschrieben - nur dann 
die Software, wenn zum einen das oder die Zertifikate und 
auBerdem die Signatur der Software als einwandfrei erkannt 
worden sind. Da die Signatur von der in der Software enthal- 
tenen fahrzcugindividucllcn Information abhangt, kann 
diese nicht nachtraglich verandert werden. Es kann nur eine 
Software lauffahig fiir ein Steuergerat eines Fahrzeugs ein- 
gespeist werden, wenn die fahrzeugindividuelle Information 
nicht verandert ist und mit derjenigen des Fahrzeugs tat- 
sachlich iibcreinstimmt. Ein Kopieren einer solch individua- 
lisierten Software auf ein anderes Fahrzeug ist damit un- 
mbglich. 

Um eine weitere Sicherheitsstufe beim Einspielen von 
Software in den Speichern des Steuergerates zu schaffen, 
sollte zudem vor dem Einspielen der Software ein Zugang 
zum Speicher des Steuergerates nur mit entsprechender Be- 
rechtigung mbglich sein. Dazu ist vor dem Uberspielen der 
signierten Software ein "AufschlieBen" des Steuergerates in 
einem Anmeldeschritt vorgesehen. Bei der Verwendung un- 
terschiedlicher priorisierter Level bei der Anmeldung kbnn- 
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ten uberdies auch verschieden ausgestaltete Zugriffsrechte 
vergeben werden. Bei einem Diagnosezugriff ware bei- 
spielsweisc zunachst cine Anineldung nolwcndig, wodurch 
das Steuergerat uber die eingegebene Zugang sin formation 
die Zugriffsrechte und die damit verbundenc Berechtigungs- 
stufe erkennt. Je nach Rechtevergabe konnen die Zugriffs- 
berechtigungen von unkritisch bis sehr kritisch eingestuft 
werden. Die Rechtevergabe kann statisch gestaltet sein, so 
daB beispielsweise verschiedene Zugangscodes fur be- 
stimmte Berechtigungsstufen ausgegeben werden. Altema- 
tiv kann die Rechtevergabe auch dynamisch gestaltet wer- 
den, so daB beispielsweise Zutrittszertifikate vergeben wer- 
den, in deren Zertifikatsinformation die Berechtigungsstufe 
cnthalten isl. 

GemaB einer Alternative werden die Uberprufungen der 
Signaturen im Steuergerat selbst durchgefuhn. GemaB einer 
weileren Alternative kann zumindcst cine t Jberpriifung auch 
in einer eigenen Zutritts- bzw. Zugriffssteuerung uberpruft 
werden. Ein evtl. ausschlieBlich fur die Zugriffssteuerung 
vorgesehenes Steuergerat sollte im Vergleich zu den ubrigen 
Steuergeraten wegen der zentralen Sicherheitsfunktion hin- 
sichllich der Vergabe von Zugriflfsrechten nichl zuganglich 
im Kraftfahrzeug angeordnet sein, da durch den physikali- 
schen Ausbau eines Steuergerates die oben beschriebenen 
Schutzinechanismen evtl. umgangen werden konnten. 

Urn femer auch die Gefahr auszuschlieBen, daB ein Steu- 
ergerat ganz ausgebaut und gegen ein anderes ersetzt wird, 
kann zusatziich ein Stcucrgcratcausbauschutz sinnvoll scin. 
Zu diesem Zweck wird beispielsweise in einem Fahrzeug, in 
dem die Steuergerate integriert sind, sporadisch eine Steuer- 
gcratc-Authcntitatsprufung durchgcfuhrt. Dazu wird ab und 
zu eine Anfrage an jedes Steuergerat gerichtet, die diese mit 
einer bestimmten erwarteten Information beantworten miis- 
sen. Stimmt die tatsachlich von einem zu uberpriifenden 
Steuergerat abgegebene Information nicht mit der erwarte- 
ten Information ubcrein oder antwortct das Steuergerat 
nicht, so werden geeignete SicherungsmaBnahmen ergrif- 
fen. Beispielsweise wird das Steuergerat aus dem Kommu- 
nikationsvcrbund ausgeschlossen oder das Steuergerat wird 
registriert, markiert oder in eine Liste aufgenommen. Bei ei- 
ner Diagnose des Fahrzeugs kann die Manipulation dann er- 
kannt werden. Bei der oben beschriebenen Ausfiihrungs- 
form antworten die Steuergerate auf Anfrage beispielsweise 
mitlels eines geheimen, steuergeratespezifischen Authentifi- 
kationsschliissel. Ein illegal ausgetauschtes Steuergerat ver- 
fugt uber einen solchen Schlussel nicht und wird damit auch 
nicht akzepliert. 

Die vorliegende Erfindung wird nachfolgend anhand von 
Ausfuhrungsbeispielen und mit Bezug auf die beiliegenden 
Zcichnungcn nahcr crlautert. Die Zeichnungen zeigcn in 

Fig. 1 eine schematische Darstellung einer Steuergeriite- 
struktur in einem Fahrzeug, 

Fig. 2 ein Ablaufdiagramm fur ein Einlesen von Software 
in ein Steuergerat und 

Fig. 3 eine schematische Darstellung fur den Ablauf zur 
Vergabe einzelner Signaturen damit eine Software einwand- 
frei ein Steuergerat steuern kann, 

Fig. 4 eine schematische Darstellung fur die Vergabe ei- 
nes Zertifikates durch ein Trust-Center, 

Fig. 5 eine schematische Darstellung fur die Erstellung 
einer digital en Signatur fur eine Software, 

Fig. 6 eine schematische Darstellung des Ablaufes der 
Uberprufungen in einem Steuergerat zur Verifikation von 
eingespielter Software, 

Fig. 7a bis 7d Darstellungen zur Verschliisselung und Ve- 
rifikation von Zertifikat und Software unter Verwendung ei- 
nes Hash-Codes und 

Fig. 8 eine Darstellung eines Algorithmus fur eine Uber- 



priifung von fahrzeugindividuellen Informationen. 

In Fig. 1 ist blockdiagrammartig eine Steuergeratestruk- 
tur mil miteinander vernctzten Einhcitcn abgebildet. Das 
Boardnetz besteht hierbei aus mehreren Teilnetzen (LWL- 

5 Most, K-CAN System, Powertrain-CAN etc.), die zum Teil 
unterschiedliche tibertragungsgeschwindigkeiten besitzen 
und durch sogenannte Gateways (Zentrales Gateway Mo- 
dul, Controller Gateway) miteinander verbunden sind. Mit- 
tels des Zentralen Gateways 14 ist ein Diagnosebus 16 mit 

10 alien ubrigen Netzen mittelbar oder unmittelbar gekoppelt. 
Der Diagnosebus 16 stellt eine der wichtigsten Verbindun- 
gen zur Umwelt dar. tJber einen Diagnosetester, der an einer 
OBD-Steckdose (OBD = on board diagnose) am Ende des 
Diagnosebuses 16 angeschlossen ist, und unter Zwischcn- 

15 schaltung des zentralen Gateways 14 konnen samtliche 
Controller, Gateway und Steuergerate im gesamten System 
angcsprochen werden. 

Altemativ besteht die Moglichkeit, uber das GSM-Netz 
20 und ein Telefonsystem 18 im Fahrzeug auf die Gerate im 

20 Fahrzeug zuzugreifen. Damit ist prizipiell ein Remotezu- 
griff auf das Fahrzeug-Boardnetz moglich. Das Telefonsy- 
stem 18 stellt hierbei ebenfalls ein Gateway zwischen dem 
Mobilfunknetz (GSM-Netz) und den ubrigen Fahrzeugbus- 
teilnehmern dar. 

25 im Fahrzeugbus integriert ist ein Car- Access-System 
(CAS) 22, das den Zutritt zum Fahrzeug iiberwacht. Es be- 
inhaltet als weitere Funktion eine elektronische Wegfahr- 
spcrrc. 

Ein Mulitmedia-Changer (MMC) stellt eine Schnittstelle 
30 zwischen einem CD-Player und dem Bordnetz dar. Beim 
Controller Gateway 21 werden Eingaben, die der Fahrcr 
uber die verschiedenen Instrumente macht, in Nachrichten 
umgesetzt und an die jeweils angesprochenen Steuergerate 
weitergeleitet, 

35 Daneben sind mehrere Steuergerate (STG1 bis STG5) 
dargestellt. Die Aufgabc eines Steuergerates besteht nicht 
nur in der Steuerung einer bestimmten Einheit im Fahrzeug, 
sondem auch in der Kommunikation zwischen den Geraten 
selbst. Die Kommunikation im Fahrzeug ist vorliegend 

40 "Broadcast orientiert". Ein Erzeuger von Informationen, der 
den Buszugriff gewonnen hat, sendet seine Informationen 
grundsatzlich an alle Steuergerate. Der Datenbus, der mit 
dem Controller verbunden ist, wird dazu permanent abge- 
hort. Bei einer Kommunikation rnit der Umwelt hingegen, 

45 beispielsweise uber den Diagnosebus, wird jedes Steuerge- 
rat mit einer eindeutigen Adresse gezielt angesprochen. 

Die Software, die die Funktionalitat der Steuereinheit be- 
stimmt, ist in Zukunft iiberwiegend in einem programmier- 
baren Flash- Speicher untergebracht. Bei einer Flashpro- 

50 grammicrung konnen nur ganzc Blocke geloscht und neu 
beschrieben werden. Das Loschen einzelner Bites ist nicht 
moglich. Je nach Steuergeraten werden unterschiedliche Ar- 
ten von Mikrocomputcrn eingesctzt. Je nach Anfordcrungen 
sind dies 8-Bit, 16-Bit oder 32-Bit-Prozessoren. Alle diese 

55 Steuergerate oder Controller sind in untcrschiedlichen Va- 
rianten verfugbar. Sie weisen beispielsweise einen Flash- 
Speicher auf dem Board oder direkt im Prozessor selbst in- 
tegriert auf. 

Nachfolgend soil naher auf die vorliegend verwendete 
60 Verschliisselung eingegangen werden. Bei dem verwende- 
ten Authentifizierungsverfahren wird eine asynchrone Ver- 
schliisselung bevorzugt. Bei symmetrischen Schlusseln muB 
jede Seite im Besitz des Geheimnisses sein. Sobald ein syn- 
chroner Schlussel bekannt ist, kann eine wirksame Ver- 
65 schlusselung nicht mehr sichergestellt werden. Da ein 
Schlussel des Schliisselpaares jedoch im Steuergerat eines 
Kraftfahrzeugs abgespeichert sein mu8 und somit des sen 
Geheimhaltung nicht sichergestellt werden kann, ist die 
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Wahl eines symmetrischen Schliisselpaares nicht ratsam. 

Im Gegensatz zu der symmetrischen Verschliisselung ent- 
wickeltcn W. Diffic und M. Hellmari 1976 die sogcnannic 
Public-Key-Kryptografie. Bei dieser Verschliisselungsart 
wird ein Schlusselpaar mit einem offentlichen und einem 
geheimen Schlussel erzeugt. Mit dem offentlichen Schlussel 
kann jeder entschlusseln, es kann aber nicht verschliisselt 
werden. Zum Verschliisseln (signieren) hingegen wird der 
geheime Schlussel benotigt. 

Das Public-Key- Verfahren hat den Vorteil, daB ein 
Schlussel des Schliisselpaares offentlich bekannt sein darf. 
Da die heute bekannten Pub lie-Key- Verfahren aber sehr re- 
chenintensiv sind, verwendet man haufig Hybrid- Verfahren, 
also cine Kombination aus syimnctrischcn und asymmetri- 
schen Verfahren. Bei dem Hybrid- Verfahren wird ein sym- 
metrischer Schlussel mittels eines Public- Key- Verfahrens 
zwischen den Kommunikationspartnern ausgetauscht. Die 
eigentliche Kommunikation wird dann mit dem symmetri- 
schen Schlussel verschliisselt. 

Durch die Trennung von geheimen Schlussel und offent- 
lichen Schlussel lassen sich Authentifizierungs verfahren 
und digitale Signaturen wie oben beschrieben realisieren. 
Durch den Besitz des geheimen Schliissels laBt sich eine 
Identitat eindeutig nachweisen, und es kann eine Signatur, 
wie bei einer handschriftlichen Unterschrift erslellt werden. 
Bekannte Public-Key-Kryptosysteme sind das RSA- Verfah- 
ren. Andere Public- Key- Krypto- Verfahren beruhen auf Pro- 
blcmcn in bestimmten mathematischen Gruppcn, Logarith- 
men zu berechnen (Diskreter-Logarithmus- Problem). 

Die vorliegende Erfindung wird im folgenden anhand ei- 
nes bestimmten Ausfuhrungsbeispiels beschrieben, bei dem 
ein Kunde eine bestimmte zusatzliche Funktion in seinem 
Kraftfahrzeug wiinscht. Beispielsweise soil das Getriebe mit 
anderen Schaltkennlinien betrieben werden. Diese Funktion 
kann durch die Einspielung neuer Software in ein Steuerge- 
rat seines Fahrzcugs rcalisiert werden. Zur Realisicrung 
wendet sich der Kunde an eine autorisierte Stelle, beispiels- 
weise einen Handler, die eine solche Software erstellen und 
ablauffahig in sein Fahrzcug cinspielen kann. 

Die dafiir notwendigen Ablaufe werden im folgenden er- 
lautert. 

Um nicht alle bestellten Softwareumfange von einer ein- 
zigen Stelle abzeichnen (signieren) lassen zu mussen, wer- 
den zunachst inehrere dezentrale Berechtigte - sogenannte 
Zertifikatsinhaber - (z. B. Handler) aufgebaut, bei denen 
eine gewunschte Software bestellt werden kann. Durch die 
Vergabe von Zertifikaten werden die Berechtigten in die 
Lage versetzt, die bestellte Software selbst zu erzeugen und 
auch zu unterzeichnen (signieren). 

Der Ablauf wird zunachst mit Bczug zur Fig. 3 nahcr cr- 
lautert. In einem Trust-Center (404 in Fig. 4) wird ein erstes 
Schlusselpaar 300 mit einem privaten Schlussel 304 und ei- 
nem offentlichen Schlussel 302 erzeugt. 

Ein Schlussel ist dabei ein elektronischer Code, mit dem 
eine Information vcr- und/odcr entschliissell werden kann. 
Man verwendet dabei bekannte kryptographische Algorith- 
men, wie die bereits oben beschriebenen RSA oder DEA Al- 
gorithmcn, also sogenannte "public- key- Algorithmen" mit 
asynchronen Schliisselpaaren. 

Der offentliche Schlussel 302 des Trust-Centers wird be- 
reits bei der Produktion eines Fahrzeugs in einem Steuerge- 
rat 306 im Bootsektor 308 abgelegt. 

Mit dem privaten Schlussel 304 jedoch wird nunmehr ein 
Zertifikat 318 unterzeichnet (signiert), welches bestimmte 
Zertifikatinformationen enthalt. 

Der Zertifikatinhaber erstellt ebenfalls ein Schlusselpaar 
312 (zweites Schlusselpaar) mit einem weiteren privaten 
314 und einem weiteren offentlichen 316 Schlussel. Der of- 
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fentliche Schlussel 316 wird als eine Zertifikatsinformation 
im Zertifikat 318 abgelegt. Weitere Zertifikatsinformationen 
konnen beispielsweise der Zcrlifikatsausstellcr, die Sericn- 
nummer, der Zertifikatsinhaber, bestimmte Zugriffsrechte 
5 oder der Giiltigkeitszeitraum sein. 

Mit dem privaten Schlussel 314 des Zertifikatsinhabers, 
der nur diesem bekannt ist, wird eine Software 320 in nach- 
folgend noch zu beschreibender Weise signiert (Signatur 
322). Der Zertifikatsinhaber spielt sodann das standig bei 
10 ihm vorhandene Zertifikat 318 wie auch die erstellte und si- 
gnierte Software 320 in das Steuergerat 306 ein. 

Die weitere Vorgehens weise wird nun anhand von Fig. 6 
erlautert. Das Steuergerat 600 (Bezugszeichen 306 in Fig. 3) 
pruft bei seinem erstcn Hochlauf nach der Einspielung zu- 
15 nachst, ob das Zertifikat 618 einwandfrei ist. Dazu wird mit- 
tels dem im Bootsektor 603 des Steuergerates 600 hinterleg- 
ten offentlichen Schliissels 602 des Trust- Centers die Signa- 
tur 2619 des Zertifikates 618 gepriift. Wird das Zertifikat 
618 ftir o. k. befunden (Ja), ist die darin gespeicherte Zertifi- 
20 katsinformation 617 zusammen mit dem offentlichen 
Schlussel 616 ebenfalls akzeptiert. ist das Zertifikat bzw. 
dessen Unterschrift 619 nicht einwandfrei verifi/.iert (Nein), 
wird der Betrieb des Steuergerates gestoppt (Stop). 

Mit dem im Zertifikat 618 enthaltenen offentlichen 
25 Schlussel 616 wiederum wird die Signatur 1608 der Soft- 
ware 606 uberpruft. Wird diese Priifung ebenfalls bestanden 
(Ja), kann das Steuergerat mit der neu eingespielten Soft- 
ware 610 betrieben werden (o. k.). Andcrnfalls (Nein) wird 
der Betrieb des Steuergerates 600 gestoppt (Stop). 
30 Insgesamt kann mit der beschriebenen Vorgehensweise 
cine Dczcntralisierung von berechtigten Stellcn, welche zur 
Unterzeichnung von Software befugt sind, erreicht werden. 
Dabei stehen verse hiedenste Moglichkeiten offen, im Zerti- 
fikat weitere Berechtigungen und Beschrankungen zu ver- 
35 packen. Ist im Zertifikat ein Giiltigkeitszeitraum enthalten, 
so kann ein vormaliger Zertifikatsinhaber nach dem Ablauf 
des Giiltigkeitszeitraum keine Software mehr signieren bzw. 
diese Software wird nicht mehr akzeptiert, weil das Zertifi- 
kat nicht mehr akzeptiert wird. Zudem kann iibcr den Inha- 
40 ber des Zertifikates auch nachvollzogen werden, wer in ei- 
nem Steuergerat eine Software eingelesen und somit eine 
Modification vorgenommen hat. 

In Fig. 2 ist eine weitere Sicherungsstufe dargestellt. Soil 
eine neue Software in ein Steuergerat eines Fahrzeugs ein- 
45 gespielt werden, so muB man sich zunachst anmelden 
(Schritt 200 in Fig. 2). Bei der Anmeldung erfolgt eine Iden- 
tifizierung des Berechtigten. Erst bei erfolgreicher Identifi- 
zierung wird das Steuergerat "aufgesperrt" wodurch prinzi- 
piell ein Einlesen von neuer Software und des Zertifikates in 
50 das Steuergerat moglich ist (Schritt 202 in Fig. 2). Erst nach 
dem Einlesen erfogt dann die oben beschriebene Verifica- 
tion des Zertifikates und der Software. 

Im folgenden wird die Erstellung des Zertifikates naher 
beleuchtet. Zunachst muB zwischen dem Trust-Center und 
55 einem Dritten Einigkcit bestchen, daB dieser Dritte als Zer- 
tifikatinhaber eine gewisse Berechtigungsstufe zugespro- 
chen bekomrnt, geanderte Software in ein Steuergerat oder 
fur ein Steuergerat eines Fahrzeugs cinzulesen. Ist cine Eini- 
gung erzielt, generiert der zukunftige Zertifikatsinhaber 
60 (z. B. eine Werkstatt 400) sein eigenes Schlusselpaar mit ei- 
nem privaten und einem offentlichen Schlussel und sendet 
den offentlichen Schlussel mit einer Zertifikatsanforderung 
(Schritt 402 in Fig. 4) an das Trust-Center 404. 

Das Trust-Center 404 erstellt das Zertifikat 406, signiert 
65 es mit dem geheimen Schlussel (vgl. auch Bezugszeichen 
304 in Fig. 3) und sendet es an den Zertifikatsinhaber 400 
zuriick, wo es verbleibt. 

Der Zertifikatsinhaber 400 kann ab Erhalt des Zertifikates 
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und soweit ihm dies das Zertifikat 406 erlaubt Software 408 
(auch Bezugszeichen 320 in Fig. 3) mit seinem privatem 
Schliisscl signieren. Dies ist in Fig. 5 naher dargestelll. Dort 
wird eine Software 500 in einer Einheit 540 mit dem gehei- 
men Schlussel 520 signiert. Die signierte Software 560 ist 5 
dann zum Einspielen in das Steuergerat eines Fahrzeuges 
bereit. Mit Bezug auf Fig. 4 ist dies auch dargestellt. Dort 
wird die signierte Software 408 sowie das Zertifikat. 406 von 
dem Zertifikatsinhaber in ein Fahrzeug 12 eingespielt. 

Mit Bezug auf die Fig. 7a bis 7b wird das signieren der to 
Software und des Zertifikates sowie die Uberpriifung der je- 
weiligen Signatur naher erlautert. 

Es ist ineffizient ein gesamtes elektronischen Dokument 
in seiner Gesaintheit zu signieren. Viclnichr wird dazu vor- 
liegend eine sogenannten Hash-Funktion verwendet. 15 

Genauer gesagt wird aus der Software 750 uber eine an 
sich bekannte Hash-Funktion ein sogenannter Hash-Code 
751 generiert, bei dem es sich urn eine digitale Information 
mit vorgegebener Lange handelt. Dieser Hash-Code 751 
wird dann mit dem geheimen Schlussel des Zertifikatsinha- 20 
bers signiert (Signatur 1 752). Die Signierung des Hash- 
Codes 751 ist wesentlich effizienter als die Signatur von lan- 
gen Software-Dokumenten. Die bekannten Hash-Funktio- 
nen haben dabei folgende wesentliche Eigenschaften: Es ist 
im allgemeinen schwer, zu gegebenern Hash-Wert h einen 25 
Wert M eines Dokuments zu finden (Einwegfunktion). Zu- 
dem ist es schwer, eine Kollision, d. h. zwei Werte mit M 
und M', bei denen die Hash-Wcrtc gleich sind, zu finden 
(Kollisionsresistenz) . 

Die angeforderte Software 753 kann - wie oben bereits 30 
crwahnt - vom Zertifikatsinhaber sclbst crstellt und signiert 
werden. 

In analoger Weise zur Software wird ein Zertifikat erstellt 
(Fig. 7b). Aus der gesamten Zertifikatsinformation 760 in- 
klusive dem offentlichen Schlussel des Zertifikatsinhabers 35 
wird uber eine gleiche oder cine andcre Hash-Funktion ein 
weiterer Hash-Code 761 generiert, bei dem es sich um eine 
digitale Information mit einer anderen vorgegebenen Lange 
handelt. Dieser anderc Hash-Code 761 wird dann mit dem 
geheimen Schlussel des Trust-Centers signiert (Signatur 40 
2762). 

Nach dem Einspielen der neuen Software sowie des Zer- 
tifikates in ein Steuergerat wird dann beim nachsten Betrieb 
zunachst mittels des offentlichen, im Steuergerat gespei- 
cherten Schliissels iiberpruft, ob die Signatur des Zertifika- 45 
tes einwandfrei ist (Fig. 7c). Dazu wird der offentliche 
Schlussel aus dem Steuergerat auf die Signatur 2 angewen- 
det, was einen berechneten Hash-Code (Bezugszeichen 765) 
ergibt. Dieser berechnete Hash-Code 765 wird in einem 
Komparator 764 mit dem aus dem Zertifikat selbst nach der 50 
oben genannten Hash-Funktion gebildeten Hash-Code 761* 
verglichen. Vorliegend stimmen beiden Hash-Codes 765 
und 761* nicht mitcinander iibercin. Das Zertifikat ist vorlie- 
gend unberechugterweise verandert worden. Dadurch wird 
der Betrieb des Stcuergeratcs unterbunden (Stop). 55 

Ware das Zertifikat als einwandfrei verifiziert worden, so 
wird im nachsten Schritt (Fig. 7d) iiberpruft, ob die Soft- 
ware ordnungsgcmaB untcrzeichnet ist. Dazu wird analog 
auf die Signatur 1 der Software der offentliche Schlussel aus 
dem Zertifikat angewendet, wodurch ein Hash-Code 756 be- 60 
stimmt wird. Dieser Hash-Code 756 wird mit dem direkt aus 
der Software bestimmten Hash-Code 751' in einem Kompa- 
rator 754 verglichen. Vorliegend ist keine Ubereinstimmung 
gegeben, so daB wiederum der Betrieb des Steuergerates un- 
terbunden werden wiirde. Wiirden die beiden Hash-Codes 65 
756 und 751* jedoch iibereinstimmen, so wiirde das Steuer- 
gerat mit der neuen Software betrieben werden konnen. Um 
eine Uberpriifung bei jedem Hochlaufen zu verhindern, 
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kann nach der ersten Verifikation auch ein Priifbit gesetzt 
werden, welches eineeinwandfreie Verifikation anzeigt. Na- 
tiirlich darf ein solchcs Priifbit nicht von auBen modifi/.icr- 
bar sein. 

Neben der oben beschriebenen digitalen Signatur wird 
zur Authentifikation eines Kommunikationspartners A ge- 
geniiber einem Kommunikationspartners B haufig ein soge- 
nanntes Challenge-Response-Verfahren verwendet. Dabei 
sendet B zunachst eine Zufallszahl RANDOM an A. A si- 
gniert diese Zufallszahl mittels seines geheimen Schliissels 
und sendet diesen Wert als Antwort an B. B verifiziert die 
Antworl mittels seines offentlichen Schliissels und pruft die 
Authentifizierung von A. 

Nachfolgend wird anhand von Fig. 8 die Sicherstcllung 
einer Individualisierung der Software fur ein bestimmtes 
Fahrzeug beschrieben, wobei auf ein oben erwahntes Chal- 
lenge-Response Verfahrcn Bezug genommen wird. 

Das oben beschriebene Verfahren der Signatur einer Soft- 
ware wird insofern erweitert, als die Steuergerate-S oft ware 
noch fur ein bestimmtes Fahrzeug individualisiert gekenn- 
zeichnet wird. Jede Software wird mit einem Identifikati- 
onsmerkmal eines bestirnmlen Fahrzeugs oder Fahrzeug- 
typs verbunden. Das Identifikauonsmerkmal kann beispiels- 
weise die Fahrgestellnummer sein. 

Nachfolgend wird beschrieben warum die so gekenn- 
zeichnete Software dann nur noch in dieses Fahrzeug bzw. 
diesen Fahrzeugtyp in funktionsfahiger Weise eingespielt 
werden kann. 

Zur Individualisierung der Software wird zunachst die 
Fahrgestellnummer FGNsw in die Software 800 eingetragen 
und anschlieBend wird die gesamte Software - zusammcn 
mit einem privaten Schliissel IFSp 804 - wie oben beschrie- 
ben nach Erstellung des Hash-Codes signiert (Bezugszei- 
chen 802). Das Steuergerat 806 akzeptiert wie bereits be- 
schrieben nur eine korrekt signierte Software. Da die Fahr- 
gestellnummer FGNsw den Hash-Code und die Signatur bc- 
einfluBt ist es nicht mogtich, die Fahrgestellnummer nach- 
traglich zu verandern. 

Ist die Signatur 802 prinzipicll akzeptiert, wird iibcrpriift, 
ob das der Software 800 zugeomdete Fahrzeugidentifikati- 
onsmerkmal FGNsw mit dem tatsachlich im Fahrzeug vor- 
liegenden Merkmal FGN ubereinstimmt. Ist dies der Fall, 
wird die Software freigeschaltet. Damit kann die wie oben 
praparierte Software nur in einem bestimmten Zielfahrzeug 
verwendet werden. Fur ein anderes Fahrzeug muB wiederum 
eine andere mit einer individuellen Signatur versehene Soft- 
ware beschafft werden. 

Um eine solche Individualisierung einer Software durch- 
fiihren zu konnen, sollte die Fahrgestellnummer bereits in 
der Fcrtigung in die entsprechenden Steucrgeratc in nicht 
manipulierbarer Weise eingetragen werden. Die Fahrgestell- 
nummer FGN muB auch nach einem Loschen eines Spei- 
chcrs in dem Steuergerat noch vorhanden sein. Dies kann 
dadurch realisiert werden, daB die Fahrgestellnummer bei- 
spielswcise in das oben bereits crwahntc Car-Access-Sy- 
stem (CAS) 810 in einem nicht fliichtigen Speicher eingetra- 
gen ist. 

Folgende Vorgehensweise gcmaB Fig. 8 sicherl dabei eine 
nicht manipulierbare Abfrage. Zusatzlich zur Fahrgestell- 
nummer benotigt man ein weiteres fahrzeugindividuelles 
Schlusselpaar bestehend aus einem geheimen Schlussel 
IFSs und dem dem oben bereits erwahnten offentlichen 
Schlussel IFSp. Die Zuordnung der Fahrgestellnummer und 
der beiden Schlussel erfolgt an zentraler Stelle. Der geheime 
Schlussel IFSs ist in der Steuergerateeinheit Car-Access-Sy- 
stem (CAS) 810 gespeichert und zwar in nicht auslesbarer 
Form. 

Die Fahrgestellnummer FGN befindet sich bereits im Zu- 
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griffsbereich des Car-Access-Systems. 

In der neu einzuspielenden Software ist zusatzlich zur 
Fahrgestellnummer noch der often Lliche Schliissel TFSp hin- 
terlegt (804). Danach wird die gesamte Software 800 durch 
Signaiur gesichert. Nach dem Laden der Software in das 5 
Steuergerat 806 wird zunachst die Korrektheit der Signatur 
gepriift. Danach verifiziert das Steuergerat 806 mittels einer 
vorher beschriebenen Challenge-Response-Abfrage, ob die 
Fahrgestellnummer in der Software mit der derjenigen des 
Fahrzeugs iibereinstimmt. Dazu sendet das Steuergerat die 10 
Fahrgestellnummer aus der Software FGNsw und eine Zu- 
fallszahl RANDOM an das Car-Access- System 810 (Be- 
zugszeichen 808). Dort wird die im Fahrzeug gespeicherte 
Fahrgestellnuininer FGN mil der empfangencn Fahrgestell- 
nummer FGNsw verglichen. AnschlieBend werden die bei- 15 
den Werte mit dem geheimen Schliissel IFSs signiert und 
wicder an das Steuergerat 806 zuriick gesendet. Das Steuer- 
gerat 806 kann nun mit dem offentlichen Schliissel EFSp die 
signierte Sendung uberprufen. Danach wird verglichen 
(Schritt 814), ob die verschiedenen zueinander gehorenden 20 
Werte iibereinstimmen. Ist dies der Fall (OK), so kann das 
Steuergerat 806 mil der fahrzeugindividuellen Software be- 
Lrieben werden. Verlauft der Vergleich negativ, so wird der 
Betrieb des Steuergerates gestoppt (Schritt 816). 

Als Van ante dieses Verfahren kann anstelle eines indivi- 25 
duellen Schliisselpaares IFSs und IFSp auch ein entspre- 
chendes nicht fur ein Fahrzeug individualisiertes Schlussel- 
paar, das bcreits im Fahrzeug gespeichert ist, vcrwendct 
werden. Dadurch entfallt die Verwaltung fur diesen Schliis- 
sel. Ebenso ist natiirlich ein entsprechender Mechanismus 30 
mit einem symmetrise hen kryptografischen Verfahren mog- 
lich. Dies hat zwar Vorteile bei der Abarbeitung, bringt aber 
die Gefahr des Auslesens des symmetrise hen Schlussels aus 
den Steuergeraten mit sich. 

Natiirlich ist bei alien oben genannten Verfahren absolut 35 
sicherzustellen, daB die geheimen Schliissel des Trust-Cen- 
ters auch geheim bleiben. Insgesamt bietet die vorgenannte 
Kryptografie eine gute Moglichkeit, nur ordnungsgemaBe 
Software in Fahrzcugc bzw. in bestiminte Fahrzcugc einzu- 
spielen und somit unbefugten Manipulationen vorzubeugen. 40 

Patentanspriiche 

1. Verfahren zur Sicherstellung der Datenintegritat ei- 
ner Software fur ein Steuergerat eines Kraftfahrzeugs, 45 
in dem in einem Speicher eine das Steuergerat in seiner 
Wirkungsweise beeinflussende Software speicherbar 
ist, gekennzeichnet durch die Schritte: 
Bereitstellen eines Steuergerate-Schliisselpaares mit 
einem crsten und einem zweiten Schliissel, 50 
Bereitstellen einer bestimmten Anzahl n von Zertifi- 
kats-Schliisselpaaren mit jeweils einem ersten und ei- 
nem zweiten Schliissel, 

Hinterlegen des ersten Schlussels des Steuergerate- 
Schliisselpaarcs im oder fiir das Steuergerat in dem 55 
Kraftfahrzeug, 

Erstellen von der bestimmten Anzahl n entsprechenden 
Zerufikaten, wobei jedes Zertifikat eine Zertifi katsin- 
formation urnfaBt, in der Zertifikatsinformation des 
letzten Zertifikates zumindest ein Schliissel zur tiber- 60 
priifung der Software und - falls mehrere Zertifikate 
verwendet werden - in den anderen Zertifikatsinforma- 
tionen zumindest ein Schliissel zur Uberpriifung des 
nachfolgenden Zertifikates abgelegt sind, 
Signieren der Zertifikatsinformation des ersten Zertifi- 65 
kates mit dem zweiten Schliissel des Steuergerate- 
Schliisselpaares und - falls mehr als 1 Zertifikat vor- 
handen sind - Signieren der ubrigen Zertifikate mit 



dem jeweils zweiten Schliissel eines Zertifikat-Schlus- 
selpaares, von dem der jeweils erste Schliissel in der 
Zertifi katsin formation des vorhergchenden Zertifikat 
abgelegt ist, 

Signieren einer neu einzuspielenden Software mit dem 
zweiten Schliissel eines Zertifikats-Schliisselpaares, 
von dem der erste Schliissel in der Zertifikatsinforma- 
tion des letzten Zertifi kats abgelegt ist, 
Einspielen aller signierten Zertifikate in das Steuerge- 
rat, 

Einspielen der signierten Software das Steuergerat, 
Uberprufen der Signatur des ersten Zertifikates mit 
dem im oder fur das Steuergerat hinterlegten ersten 
Schliissel des Sleuergcrate-Schliisselpaares und falls 
mehr als 1 Zertifikat vorhanden sind - Oberprufen der 
Signatur jeden weiteren Zertifikates mittels dem in der 
Zcrufikaisinformation des vorhergchenden Zertifikat 
enthaltenen ersten Schlussels, 

Akzeptieren der Zertifikatis information eines jeweili- 
gen Zertifikates, wenn die jeweilige Uberpriifung mit 
positivem Ergebnis verlauft, und 

"Oberprufen der Signatur der Software mit dem in der 
Zertifikatsinformation des letztem Zertifikat hinterleg- 
ten ersten Schliissel und 

Akzeptieren der eingespielten Software, wenn auch 
diese Uberpriifung mit positivem Ergebnis verlauft. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB in einem Zertifikat als die zumindest cine Zer- 
tifikatsinformation ein offentlicher Schliissel enthalten 
ist und daB die damit zu iiberprufende Signatur mit ei- 
nem zugehorigen geheimen Schliissel durchgefuhrt ist. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der erste Schliissel des Steuergerate- 
Schliisselpaares, der in dem oder fiir das Steuergerat 
hinterlegt ist, ein offentlicher Schliissel ist und die Si- 
gnatur des ersten Zertifikates mit dem zugehorigen ge- 
heimen Schliissel durchgefuhrt ist. 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB das Fahrzeug, insbesonderc ein Steuerge- 
rat im Fahrzeug, ein asynchrones Schliisselpaar mit ei- 
nem offentlichen und einem geheimen Schliissel er- 
zeugt, daB der geheime Schliissel im Fahrzeug, insbe- 
sondere in einem Steuergerat, hinterlegt wird, und daB 
der offentliche Schliissel zur Signieren des ersten Zer- 
tifikates aus dem Fahrzeug auslesbar ist. 

5. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB der im Steuergerat 
hinterlegte Schliissel im Boot-Sektor des Steuergerates 
abgelegt wird. 

6. Verfahren nach Anspruch 5, dadurch gekennzeich- 
net, daB der Boot-Sektor nach dem Beschreiben und 
der Eingabe des Schliissel abgesperrt wird, und so ge- 
gen einen weiteren ZugrifT, insbesonderc cincn 
Schreibzugriff, geschiitzt ist. 

7. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB die Software und/ 
oder die Zertifikatsinformation jeweils auf eine Infor- 
mation mit bestirninter Lange abgebildet werden und 
diese Informationen dann signiert werden. 

8. Verfahren nach Anspruch 7, dadurch gekennzeich- 
net, daB als Abbildungsfunktion eine Hash-Funktion 
gewahlt wird. 

9. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB der Software zumin- 
dest eine fahrzeugindividuelle Information eines das 
Steuergerat enthaltenden Fahrzeugs hinzugefiigt wird, 
daB mit der Software die zumindest eine fahrzeugindi- 
viduelle Information signiert wird, daB neben dem 
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Uberpriifen der Signaturen derZertifikate und der Soft- 
ware auch die fahrzeugindividueile Information tiber- 
pruft wird und daB die Soft ware nur dann im Steuerge- 
rat akzeptierl wird, wenn auch die fahrzeugindividueile 
Information der Software mil derjenigen des Fahrzeugs 5 
ubereinstimmt. 

10. Verfahren nach Anspruch 9, dadurch gekennzeich- 
net, daB zurUberpriifung der fahrzeugindividuellen In- 
formation ein eigenes individuelles Schlusselpaar er- 
zeugt wird, wobei in einer Fahrzeugsicherheitseinheit to 
oder dem Steuergerat die fahrzeugindividueile Infor- 
mation und ein Schlussel des fahrzeugindividuellen 
Schlusselpaares vorhanden sind, in der Software neben 
der fahrzeugindividuellen Information noch der wci- 
tere Schlussel des fahrzeugindividuellen Schlusselpaa- 15 
res abgelegt ist und in einer separaten Routine uber- 
priifL wird, ob die beiden Schliisscl des fahrzeugindivi- 
duellen Schlusselpaares zusammenstimmen, um bei ei- 
ner Bejahung die eingespielte Software zu akzeptieren. 

11. Verfahren nach einem der vorhergehenden An- 20 
spriiche, dadurch gekennzeichnet, daB die Software zu- 
mi rides 1 beim erstmaligem Hochlaufen des Steuergera- 
tes gepriift und dann entsprechend gekennzeichnet 
wird. 

12. Verfahren nach einem der vorhergehenden An- 25 
spriiche, dadurch gekennzeichnet, daB bei einem exter- 
nen ZugrifT auf das Steuergerat eine Zugangseinheit 
pruft, ob cine Bcrcchtigung fur den ZugrifT vorliegt. 

13. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet, daB ein Code von einem Steuergerat angefor- 30 
dcrt wird und der Code auf Richtigkcit hin gepriift 
wird. 

14. Verfahren nach Anspruch 13, dadurch gekenn- 
zeichnet, daB ein Steuergerat eine Zufallszahl ausgibt, 
die von dem Zugreifen zu signieren ist, und daB die Si- 35 
gnatur im Steuergerat, insbcsondcrc mittels eines Au- 
thetifizierungsschlussels, iiberpruft wird. 

15. Verfahren nach einem der Anspriiche 12 bis 14, 
dadurch gekennzeichnet, daB bei der Abfragc der Zu- 
griffsberechtigung eine Berechtigungsstufe festgestellt 40 
wird und Zugriffsaktionen in Abhangigkeit von der Be- 
rechtigungsstufe akzeptierl oder nicht akzeptierl wer- 
den. 

16. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB eine Sicher- 45 
heitseinrichtung in einem Fahrzeug zumindest spora- 
disch eine Authentitatspriifung eines Steuergerates 
durchfuhrt und das Steuergerat bei negativem Ergebnis 
registriert. 

17. Verfahren nach Anspruch 16, dadurch gekcnn- 50 
zeichnet, daB im Steuergerat ein steuergeratindividuel- 
ler geheimer Code hinterlegt ist. 

18. Verfahren nach Anspruch 16 oder 17, dadurch ge- 
kennzeichnet, daB die Sicherheitseinrichtung ein steu- 
ergcratcsprczifisches Merkmal abfragl und dieses auf 55 
Authentitat pruft. 

19. Verfahren nach einem der Anspriiche 16 bis 18, 
dadurch gekennzeichnet, daB bei der Authentitatsprii- 
fung ein in der Sicherheitseinrichtung und/oder ein in 
dem Steuergerat hinterlegter Schlussel verwendet wird. 60 
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